2023-1137: WordPress: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2023-05-17 15:54)

Neues Advisory

Version 2 (2023-05-19 10:37)

Für Fedora 37 und 38 sowie Fedora EPEL 7 und 9 stehen Sicherheitsupdates in Form von 'wordpress-6.2.1-1'-Paketen sowie in Form des Pakets 'wordpress-5.1.16-1.el7' im Status 'testing' bereit, um die Schwachstellen zu beheben.

Version 3 (2023-05-22 10:41)

Der Hersteller informiert darüber, dass zur weiteren Härtung gegen die mit WordPress 6.2.1 behobene Schwachstelle WORDPRESS-6-1-2-A sowie zur Behebung einer mit der Version 6.2.1 eingeführten Regression als kurzfristiges Sicherheitsupdate nun WordPress 6.2.2 veröffentlicht wird. Für WORDPRESS-6-1-2-E wurde zwischenzeitlich der Identifier CVE-2023-2745 vergeben.

Version 4 (2023-05-24 09:56)

Für Fedora 37 und Fedora EPEL 9 stehen Sicherheitsupdates in Form von 'wordpress-6.2.2-1'-Paketen im Status 'testing' bereit, welche die vorherigen Updates FEDORA-2023-db50dafcaa (Fedora 37, wordpress-6.2.1-1.fc37) und FEDORA-EPEL-2023-b725f0f13a (Fedora EPEL 9, wordpress-6.2.1-1.el9) ersetzen, die in den Status 'obsolete' überführt wurden (Referenzen hier entfernt).

Version 5 (2023-05-24 19:22)

Für Fedora 38 steht ein neues Sicherheitsupdate in Form des Pakets 'wordpress-6.2.2-1.fc38' im Status 'testing' bereit, welches das vorherige Update FEDORA-2023-2c2171e034 (Fedora 38, wordpress-6.2.1-1.fc38) ersetzt, das in den Status 'obsolete' überführt wurde (Referenz hier entfernt).

Version 6 (2023-06-21 09:14)

Für Debian 10 Buster (LTS) steht ein Sicherheitsupdate für das Paket 'wordpress' auf Version 5.0.19+dfsg1-0+deb10u1 bereit, um die Schwachstellen zu beheben.

Betroffene Software

Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Sicherheitsvorkehrungen zu umgehen und beliebigen Programmcode auszuführen sowie Path-Traversal-, Cross-Site-Request-Forgery (CSRF)- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers.

Der Hersteller informiert über die Schwachstellen und stellt WordPress 6.2.1 bereit, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2023-2745

Schwachstelle in WordPress ermöglicht Path-Traversal-Angriff

WORDPRESS-6-1-2-A

Schwachstelle in WordPress ermöglicht Ausführen beliebigen Programmcodes

WORDPRESS-6-1-2-B

Schwachstelle in WordPress ermöglicht Cross-Site-Request-Forgery-Angriff

WORDPRESS-6-1-2-C

Schwachstelle in WordPress ermöglicht Cross-Site-Scripting-Angriff

WORDPRESS-6-1-2-D

Schwachstelle in WordPress ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.